Tại sao dùng BYOK
- Dùng không giới hạn — hạn mức Bedrock của bạn được áp dụng, không bị giới hạn tín dụng nền tảng.
- Kiểm soát chi phí — phí tính vào hóa đơn AWS của bạn, nơi bạn đã có ngân sách và thẻ phân bổ chi phí.
- Lưu trú dữ liệu — định tuyến suy luận qua hồ sơ inference chỉ tại US, EU hoặc APAC.
- Tuân thủ — bạn kiểm soát nơi suy luận diễn ra và ai có thể kiểm tra.
- Không cần quản lý mô hình — CloudThinker tự động chọn Claude Sonnet 4.5 hoặc Opus 4.5 theo từng tác vụ.
Điều kiện tiên quyết
- Gói Scale, Scale + hoặc Enterprise — xem Bảng giá & Gói dịch vụ
- Tài khoản AWS đã bật quyền truy cập Amazon Bedrock
- Thông tin xác thực IAM (access key ID và secret access key) với quyền invoke Bedrock
- Quyền truy cập mô hình cho cả Claude Sonnet 4.5 và Claude Opus 4.5 trong tài khoản AWS của bạn
Thông tin xác thực dài hạn (tiền tố AKIA) hỗ trợ tự động làm mới session token. Thông tin xác thực tạm thời (tiền tố ASIA) không thể làm mới — cần cấu hình lại khi hết hạn.
Yêu cầu quyền truy cập mô hình Claude
Các mô hình Claude yêu cầu điền biểu mẫu use case một lần trong console Bedrock trước khi có thể gọi. Xem tài liệu quyền truy cập mô hình AWS Bedrock để biết chi tiết.Mở quyền truy cập mô hình trong console Bedrock
Đăng nhập vào AWS Console, mở Amazon Bedrock và nhấp Model access trong thanh điều hướng bên trái.
Chỉnh sửa quyền truy cập mô hình
Nhấp Modify model access và bật cả hai:
- Claude Sonnet 4.5 (
anthropic.claude-sonnet-4-5-20250929-v1:0) - Claude Opus 4.5 (
anthropic.claude-opus-4-5-20251101-v1:0)
Yêu cầu quyền truy cập cho cả Sonnet 4.5 và Opus 4.5. CloudThinker chuyển đổi giữa chúng dựa trên yêu cầu tác vụ.
Tạo thông tin xác thực IAM
Người dùng IAM của bạn cần quyền để invoke cả hai mô hình. Tạo bằng AWS CLI hoặc qua AWS Console.Tạo access key
AccessKeyId và SecretAccessKey từ đầu ra — bạn sẽ nhập các giá trị này vào CloudThinker.Các lệnh này yêu cầu AWS profile có quyền quản trị IAM (
iam:CreateUser, iam:PutUserPolicy, iam:CreateAccessKey).Kết nối Bedrock trong CloudThinker
Nhập thông tin xác thực
Cung cấp Access Key ID (tiền tố AKIA hoặc ASIA), Secret Access Key và — chỉ với thông tin xác thực tạm thời — Session Token.
Chọn hồ sơ inference
Chọn Global, US, EU hoặc APAC tùy theo nhu cầu lưu trú dữ liệu của bạn.
Hồ sơ inference
Hồ sơ inference Bedrock kiểm soát vùng AWS nào có thể phục vụ yêu cầu của bạn. Để biết phạm vi vùng, xem tài liệu hồ sơ inference AWS.| Hồ sơ | Định tuyến | Sử dụng điển hình |
|---|---|---|
| Global | Bất kỳ vùng AWS thương mại nào | Thông lượng tối đa |
| US | Chỉ vùng US | Lưu trú dữ liệu tại US |
| EU | Chỉ vùng EU | Tuân thủ GDPR |
| APAC | Chỉ vùng APAC | Lưu trú dữ liệu khu vực |
Cách hoạt động
- Chọn mô hình — CloudThinker chọn mô hình Claude phù hợp theo tác vụ; bạn không bao giờ phải chọn mô hình thủ công. Xem danh sách các mô hình nền tảng được hỗ trợ.
- Kế thừa workspace — chủ workspace cấu hình BYOK một lần; mọi thành viên kế thừa. Toàn bộ lưu lượng LLM của thành viên định tuyến qua tài khoản AWS của chủ sở hữu, và chủ sở hữu quản lý thông tin xác thực tập trung.
Hành vi dự phòng
CloudThinker có thể thử lại lệnh gọi BYOK thất bại trên thông tin xác thực Bedrock do nền tảng quản lý, nhưng điều này là tùy chọn theo workspace và tắt theo mặc định cho gói Enterprise và BYOC. Khi tắt dự phòng, lệnh gọi thất bại sẽ hiển thị lỗi — không có yêu cầu nào rời khỏi ranh giới thông tin xác thực của bạn.Khi nào dự phòng kích hoạt (nếu bật)
Lệnh gọi BYOK dự phòng sang đường dẫn nền tảng chỉ khi cả ba điều kiện đều đúng:- Lỗi có thể thử lại — hết hạn thông tin xác thực, bị giới hạn tốc độ, lỗi 5xx tạm thời — không phải vi phạm nội dung hoặc chính sách.
- Thao tác được đánh dấu đủ điều kiện dự phòng (hầu hết thao tác đọc; không bao giờ là hành động ghi tự chủ trong môi trường sản xuất).
- Chính sách dự phòng của workspace là Allow.
Đặt chính sách dự phòng
Chọn chính sách
| Chính sách | Hành vi khi BYOK thất bại | Sử dụng điển hình |
|---|---|---|
| Allow | Thử lại với thông tin xác thực nền tảng trong vùng | Tenant dev / sandbox |
| Warn | Thử lại trong vùng, nhưng yêu cầu người dùng xác nhận lại ở phiên tiếp theo | Khối lượng công việc hỗn hợp |
| Strict (mặc định và khuyến nghị cho Enterprise / BYOC) | Hiển thị lỗi; không bao giờ thử lại với thông tin xác thực khác | Môi trường được quy định |
Nội dung lệnh gọi inference gửi đi
Bất kể chính sách nào, mỗi lệnh gọi BYOK đều gửi system prompt và định nghĩa công cụ của agent, lịch sử hội thoại liên quan, và ngữ cảnh được truy xuất (topology, memory, runbook). Nó không bao giờ gửi thông tin xác thực cloud thô, dữ liệu của workspace khác, hoặc — khi tokenization được cấu hình trong Admin Settings → Data Protection — PII của khách hàng.Khắc phục sự cố
Lỗi quyền truy cập mô hình bị từ chối
Lỗi quyền truy cập mô hình bị từ chối
- Xác minh bạn đã gửi biểu mẫu use case trong console Bedrock
- Kiểm tra cả Sonnet 4.5 và Opus 4.5 đều được bật trên trang Model access
- Chờ vài phút sau khi gửi để quyền truy cập được truyền tải
Lỗi quyền IAM
Lỗi quyền IAM
- Xác minh policy bao gồm
bedrock:InvokeModelvàbedrock:InvokeModelWithResponseStream - Kiểm tra ARN mô hình và hồ sơ inference khớp với mô hình và hồ sơ bạn sử dụng
- Kiểm tra quyền trực tiếp trong AWS Console
Lỗi xác thực thông tin xác thực
Lỗi xác thực thông tin xác thực
- Xác minh access key ID và secret access key đúng và chưa bị xoay vòng hoặc thu hồi
- Đối với thông tin xác thực tạm thời, xác nhận session token chưa hết hạn
- Kiểm tra với
aws sts get-caller-identity
Kiểm tra kết nối thất bại
Kiểm tra kết nối thất bại
- Xác minh cả Sonnet 4.5 và Opus 4.5 có thể truy cập và được policy IAM của bạn bao phủ
- Đảm bảo Bedrock được bật trong tài khoản AWS của bạn
- Kiểm tra vùng đã chọn khớp với quyền truy cập mô hình của bạn
BYOK không hoạt động trong workspace
BYOK không hoạt động trong workspace
- Xác minh chủ workspace đã cấu hình BYOK và được bật trong cài đặt
- Xác nhận gói của chủ sở hữu là Scale, Scale + hoặc Enterprise
- Kiểm tra thông tin xác thực của chủ sở hữu vẫn còn hiệu lực
Hết hạn session token
Hết hạn session token
- Thông tin xác thực dài hạn (AKIA) tự động làm mới
- Thông tin xác thực tạm thời (ASIA) không thể làm mới — cấu hình lại với thông tin xác thực mới
- Kiểm tra timestamp
session_token_expires_attrong cấu hình
Liên quan
Bảng giá & Gói dịch vụ
Gói nào bao gồm BYOK và nội dung mỗi bậc
Sử dụng
Theo dõi tín dụng và sử dụng LLM trong workspace của bạn
Thông báo
Cảnh báo về tình trạng thông tin xác thực BYOK trước khi chặn công việc
Webhook
Xuất sự kiện kiểm tra đến SIEM của bạn